Freesco, NND, CDN, EOS

odpal sobie jakiegoś emule i zobacz czy leci przez imq

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.

w tej chwili nie mam jak bo zarządzam zdalnie. Bede moze w piatek to sprawdze... ale podejrzewam ze wylapie torrenta czy emule.
Najgorsze jest to ze 90% ruchu p2p w mojej sieci generuje wlasnie bearshare.

A moze zamarkowac ten port dla calej sieci i wrzucic go do imq? ;D da sie?
$i -t mangle -I PREROUNTING -i eth1 -p tcp --dport $bearshare -j MARK --set-mark 0x999

?? i dla -p udp i --sport? obleci cos takiego?

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

na niewylapany ruch przez ipp2p jest jedna rada.
caly ruch od upierdliwych klientow skierowac na osobny interfejs, po czym
z tego ruchu wylowic interesujace porty ktore musza dzialac ok.

robimy plik z klientami - tylko tymi co smieca p2p - o nazwie hosts.p2p

np.

#---xxxxxxxxx
192.168.4.74

# -- xxxxxxxxx
192.168.4.98

# -- yyyyyyyyy
192.168.4.106




i drugi skrypt




#!/bin/bash

TC="/sbin/tc"
i="/usr/sbin/iptables"
if=/sbin/ifconfig

#20306-MW-
case "$1" in
start)

#-------------------------------------
# sciezki do plikow
HOSTS=/home/P2P/hosts.p2p
TMP=/home/P2P/hosts.tmp

#interfejs do internetu
INET=eth0
#-------------------------------------

echo ""
echo " -----------ON---------- "
echo ""

# -- podnosi interfejsy IMQ --------------
/sbin/modprobe imq numdevs=6 &>/dev/null

$if imq0 up &>/dev/null
$if imq1 up &>/dev/null
$if imq2 up &>/dev/null
$if imq3 up &>/dev/null
$if imq4 up &>/dev/null
$if imq5 up &>/dev/null
#------------------------------------------------------------------------------------------------
# restartuj skrypt cronem o 1,2,7,9,16,22
# 00 1,2,7,9,16,22 * * * /home/P2P/p2p restart

# ustawienie przepustowosci do internetu w KB/s (Kilo Bajty / sekunda)
# imq2
# staly przydzial dla uploadu w/g uslug
U1=1 #ack,icmp,dns
U2=1 #gry,tos
U3=1 #skype na jakims porcie (55555)
U4=1 #ssh
U5=1 #ftp
U6=6 #pop3,nntp,smtp
U7=2 #ipp2p
U8=2 #reszta

UL=$[U1+U2+U3+U4+U5+U6+U7+U8]

# maxymalne przydzialy dla uploadu
UL1=$[UL-2] #ack,icmp,dns
UL2=$[UL-2] #gry,tos
UL3=$[UL-2] #skype na jakims porcie (55555)
UL4=$[UL-2] #ssh,
UL5=2 #ftp
UL6=7 #pop3,nntp,smtp
#ULR - w/g godzin ponizej

godz=`date +%H%M`
#--- wartosci wpisz w KB (Kilo Bajtach) ---
#----Ograniczenie pasma dla p2p w godzinach---------
if [ $godz -ge "0100" -a $godz -lt "0200" ];then
ULR=3
pora=noc
fi
#----Ograniczenie pasma dla p2p w godzinach---------
if [ $godz -ge "0200" -a $godz -lt "0700" ];then
ULR=15
pora=noc2
fi
#----Ograniczenie pasma dla p2p w godzinach---------
if [ $godz -ge "0700" -a $godz -lt "0900" ];then
ULR=3
pora=ranek
fi
#----Ograniczenie pasma dla p2p w godzinach---------
if [ $godz -ge "0900" -a $godz -lt "1600" ];then
ULR=2
pora=dzien
fi
#----Ograniczenie pasma dla p2p w godzinach---------
if [ $godz -ge "1600" -a $godz -lt "2200" ];then
ULR=2
pora=wieczor
fi
#----Ograniczenie pasma dla p2p w godzinach---------
if [ $godz -ge "2200" -o $godz -lt "0100" ];then
ULR=2
pora=wieczor2
fi
#------------------------------------------------------------------------------------------------
echo " "
echo " klasa11 "$U1"KB/s max-"$UL1"KB/s - ACK,icmp,dns"
echo " klasa12 "$U2"KB/s max-"$UL2"KB/s - gry, TOS"
echo " klasa13 "$U3"KB/s max-"$UL3"KB/s - skype na wybranym porcie"
echo " klasa14 "$U4"KB/s max-"$UL4"KB/s - 443,ssh"
echo " klasa15 "$U5"KB/s max- "$UL5"KB/s - ftp"
echo " klasa16 "$U6"KB/s max- "$UL6"KB/s - pop3,nntp,smtp"
echo " klasa17 "$U7"KB/s max- "$ULR"KB/s - w/g ipp2p"
echo " klasa18 "$U8"KB/s max- "$ULR"KB/s - RESZTA niechcianego ruchu"
echo "--------------------------"
echo " imq2 UL-"$UL""KB/s
echo "--------------------------"

########################################
# ---- tworzy lancuch ------------
$i -t mangle -N znaczniki
#----- Odowolanie do lancucha-----
$i -t mangle -I PREROUTING -j znaczniki

########################################
# ---- tworzy lancuch ------------
$i -t mangle -N cel
#----- Odowolanie do lancucha-----
$i -t mangle -A POSTROUTING -j cel

#######################################
# markowanie okreslonych pakietow
$i -t mangle -A znaczniki -j CONNMARK --restore-mark
# akceptuje pakiety juz zamarkowane (omija niceshapera i nie pokazuje uploadu)
# $i -t mangle -A znaczniki -m mark ! --mark 0x0 -j ACCEPT

# kasuje plik tymczasowy
rm $TMP &>/dev/null
# wycina komentarze (zaczynajace sie od #) z pliku hosts
sed -e '/^#/d' $HOSTS > $TMP
# petla odczytujaca IP hosta z pliku hosts.tmp
for IP in `cat $TMP`;do

#--------!80
# markowanie okreslonych pakietow od uzytkownika (polaczeniowe)
$i -t mangle -A znaczniki -p tcp -s $IP --dport ! 80 -j MARK --set-mark 0x10004
$i -t mangle -A znaczniki -p udp -s $IP --dport ! 80 -j MARK --set-mark 0x10004

echo $IP
done

# zapisanie mark dla reszty pakietow
$i -t mangle -A znaczniki -m mark --mark 0x10004 -j CONNMARK --save-mark
# kierowanie pakietow od uzytkownika, do imq
$i -t mangle -A cel -o $INET -m mark --mark 0x10004 -j IMQ --todev 2

# kasuje plik tymczasowy
rm $TMP &>/dev/null

#--------icmp dla celej sieci
# markowanie okreslonych pakietow (polaczeniowe)
$i -t mangle -A znaczniki -p icmp -j MARK --set-mark 0x1
# zapisanie mark dla reszty pakietow
$i -t mangle -A znaczniki -m mark --mark 0x1 -j CONNMARK --save-mark
# kierowanie pakietow do imq
$i -t mangle -A cel -o $INET -m mark --mark 0x1 -j IMQ --todev 2

#--------25 dla celej sieci
# markowanie okreslonych pakietow (polaczeniowe)
$i -t mangle -A znaczniki -p tcp --dport 25 -j MARK --set-mark 0x10025
# zapisanie mark dla reszty pakietow
$i -t mangle -A znaczniki -m mark --mark 0x10025 -j CONNMARK --save-mark
# kierowanie pakietow do imq
$i -t mangle -A cel -o $INET -m mark --mark 0x10025 -j IMQ --todev 2

#--------110 dla celej sieci
# markowanie okreslonych pakietow (polaczeniowe)
$i -t mangle -A znaczniki -p tcp --dport 110 -j MARK --set-mark 0x10110
# zapisanie mark dla reszty pakietow
$i -t mangle -A znaczniki -m mark --mark 0x10110 -j CONNMARK --save-mark
# kierowanie pakietow do imq
$i -t mangle -A cel -o $INET -m mark --mark 0x10110 -j IMQ --todev 2

#--------119 dla celej sieci
# markowanie okreslonych pakietow (polaczeniowe)
$i -t mangle -A znaczniki -p tcp --dport 119 -j MARK --set-mark 0x10119
# zapisanie mark dla reszty pakietow
$i -t mangle -A znaczniki -m mark --mark 0x10119 -j CONNMARK --save-mark
# kierowanie pakietow do imq
$i -t mangle -A cel -o $INET -m mark --mark 0x10119 -j IMQ --todev 2

#--------ipp2p dla celej sieci
# markowanie okreslonych pakietow (polaczeniowe)
$i -t mangle -A znaczniki -m ipp2p --ipp2p -j MARK --set-mark 0x10999
# zapisanie mark dla reszty pakietow
$i -t mangle -A znaczniki -m mark --mark 0x10999 -j CONNMARK --save-mark
# kierowanie pakietow do imq
$i -t mangle -A cel -o $INET -m mark --mark 0x10999 -j IMQ --todev 2

#######################################
# Tworzymy glowna kolejke na interfejsie
$TC qdisc add dev imq2 root handle 10:0 htb r2q 1 default 18

# Glowna klasa
$TC class add dev imq2 parent 10:0 classid 10:1 htb rate $((UL*8))kbit ceil $((UL*8))kbit quantum 1500

# podklasy
$TC class add dev imq2 parent 10:1 classid 10:11 htb rate $((U1*8))kbit ceil $((UL1*8))kbit quantum 1500 burst 0k cburst 0k prio 0
$TC class add dev imq2 parent 10:1 classid 10:12 htb rate $((U2*8))kbit ceil $((UL2*8))kbit quantum 1500 burst 0k cburst 0k prio 1
$TC class add dev imq2 parent 10:1 classid 10:13 htb rate $((U3*8))kbit ceil $((UL3*8))kbit quantum 1500 burst 0k cburst 0k prio 2
$TC class add dev imq2 parent 10:1 classid 10:14 htb rate $((U4*8))kbit ceil $((UL4*8))kbit quantum 1500 burst 0k cburst 0k prio 3
$TC class add dev imq2 parent 10:1 classid 10:15 htb rate $((U5*8))kbit ceil $((UL5*8))kbit quantum 1500 burst 0k cburst 0k prio 4
$TC class add dev imq2 parent 10:1 classid 10:16 htb rate $((U6*8))kbit ceil $((UL6*8))kbit quantum 1500 burst 0k cburst 0k prio 5
$TC class add dev imq2 parent 10:1 classid 10:17 htb rate $((U7*8))kbit ceil $((ULR*8))kbit quantum 1500 burst 0k cburst 0k prio 6
$TC class add dev imq2 parent 10:1 classid 10:18 htb rate $((U8*8))kbit ceil $((ULR*8))kbit quantum 1500 burst 0k cburst 0k prio 7

# sprawiedliwy podzial
$TC qdisc add dev imq2 parent 10:11 esfq perturb 20 quantum 1500
$TC qdisc add dev imq2 parent 10:12 esfq perturb 20 quantum 1500
$TC qdisc add dev imq2 parent 10:13 esfq perturb 20 quantum 1500
$TC qdisc add dev imq2 parent 10:14 esfq perturb 20 quantum 1500
$TC qdisc add dev imq2 parent 10:15 esfq perturb 20 quantum 1500
$TC qdisc add dev imq2 parent 10:16 esfq perturb 20 quantum 1500
$TC qdisc add dev imq2 parent 10:17 esfq perturb 20 quantum 1500
$TC qdisc add dev imq2 parent 10:18 esfq perturb 20 quantum 1500

# filtry
#--11
$TC filter add dev imq2 protocol ip prio 0 parent 10:0 u32 match ip protocol 6 0xff match u8 0x05 0x0f at 0 \
match u16 0x0000 0xffc0 at 1 match u8 0x10 0xff at 33 flowid 10:11 # ACK
$TC filter add dev imq2 protocol ip prio 1 parent 10:0 u32 match ip protocol 1 0xff flowid 10:11 #ICMP
$TC filter add dev imq2 protocol ip prio 2 parent 10:0 u32 match ip dport 53 0xffff flowid 10:11 #DNS

#--12
$TC filter add dev imq2 protocol ip prio 0 parent 10:0 u32 match ip dport 27014 0xffff flowid 10:12 #CS
$TC filter add dev imq2 protocol ip prio 0 parent 10:0 u32 match ip dport 27015 0xffff flowid 10:12 #CS
$TC filter add dev imq2 protocol ip prio 0 parent 10:0 u32 match ip dport 27016 0xffff flowid 10:12 #CS
$TC filter add dev imq2 protocol ip prio 7 parent 10:0 u32 match ip dport 27038 0xffff flowid 10:12 #CS
$TC filter add dev imq2 protocol ip prio 7 parent 10:0 u32 match ip dport 27039 0xffff flowid 10:12 #CS
# -- tu mozna dopisac jeszcze jakies porty gier internetowych
$TC filter add dev imq2 protocol ip prio 1 parent 10:0 u32 match ip tos 0x10 0xff flowid 10:12 #TOS

#--13

$TC filter add dev imq2 protocol ip prio 0 parent 10:0 u32 match ip sport 55555 0xffff flowid 10:13 #skype

#--14
$TC filter add dev imq2 protocol ip prio 6 parent 10:0 u32 match ip dport 443 0xffff flowid 10:14 #
$TC filter add dev imq2 protocol ip prio 7 parent 10:0 u32 match ip dport 999 0xffff flowid 10:14 #SSH

#--15
$TC filter add dev imq2 protocol ip prio 7 parent 10:0 u32 match ip dport 20 0xffff flowid 10:15 #ftp
$TC filter add dev imq2 protocol ip prio 7 parent 10:0 u32 match ip dport 21 0xffff flowid 10:15 #ftp

#--16
$TC filter add dev imq2 protocol ip prio 5 parent 10:0 u32 match ip dport 110 0xffff flowid 10:16 #pop3
$TC filter add dev imq2 protocol ip prio 6 parent 10:0 u32 match ip dport 119 0xffff flowid 10:16 #nntp
$TC filter add dev imq2 protocol ip prio 7 parent 10:0 u32 match ip dport 25 0xffff flowid 10:16 #smtp

#--17
$TC filter add dev imq2 protocol ip parent 10:0 handle 0x10999 fw classid 10:17 #ipp2p w/g znacznika

#--18
# ------- RESZTA --klasa 10:18
#---

echo ""
#-----------klasy na imq2
tc class show dev imq2 | grep root
tc class show dev imq2 | grep -v root | sort | nl

#--------------------------------------------------------
# ominiecie przycinania squida przez niceshapera
#--------------------------------------------------------
# przepustowosc interfejsu dla squida w KB (kilo bajtach)
SR=100
# port na ktorym pracuje squid
PORT=8181

echo ""
echo "-------------------------------------------------------------"
echo " przepustowosc interfejsu squida "$SR" KB/s"
echo "-------------------------------------------------------------"

#---markowanie squida----z cache
$i -A cel -t mangle -p tcp -m string --string 'X-Cache: HIT ' -j CONNMARK --set-mark 0x8889
$i -A cel -t mangle -p tcp --sport $PORT -j CONNMARK --restore-mark

# kierowanie pakietow do imq
$i -A cel -t mangle -p tcp -m mark --mark 0x8889 -j IMQ --todev 3

#--------------------------------------------------------
# Tworzymy glowna kolejke na interfejsie
$TC qdisc add dev imq3 root handle 20:0 htb r2q 1 default 11
# Glowna klasa
$TC class add dev imq3 parent 20:0 classid 20:1 htb rate $((SR*8))kbit ceil $((SR*8))kbit quantum 1500
# podklasy
$TC class add dev imq3 parent 20:1 classid 20:11 htb rate $((SR*8))kbit ceil $((SR*8))kbit quantum 1500 burst 0k cburst 0k prio 0
# sprawiedliwy podzial
$TC qdisc add dev imq3 parent 20:11 esfq perturb 20 quantum 1500

#-----------klasy na imq3
tc class show dev imq3 | grep root
tc class show dev imq3 | grep -v root | sort | nl

#-------------------------
echo "niceshaper - start"
/usr/bin/niceshaper start
#-------------------------

;;
stop)

clear

echo ""
echo " ----------OFF---------- "
echo ""

#-------------------------
/usr/bin/niceshaper stop
killall niceshaper &>/dev/null
#-------------------------

#---kasuje odwolania
$i -t mangle -D PREROUTING -j znaczniki
#---czysci bałwan jestem w lancuchu
$i -t mangle -F znaczniki
#---kasuje lancuch
$i -t mangle -X znaczniki

#---kasuje odwolania
$i -t mangle -D POSTROUTING -j cel
#---czysci bałwan jestem w lancuchu
$i -t mangle -F cel
#---kasuje lancuch
$i -t mangle -X cel

# usowa bałwan jestem
$TC qdisc del dev imq2 root
$TC qdisc del dev imq3 root

#-- wylacza IMQ --------------------
$if imq0 down &>/dev/null
$if imq1 down &>/dev/null
$if imq2 down &>/dev/null
$if imq3 down &>/dev/null
$if imq4 down &>/dev/null
$if imq5 down &>/dev/null

/sbin/rmmod imq &>/dev/null
#-----------------------------------

;;
restart)
$0 stop
sleep 1
$0 start
;;
*)

echo ""
echo " Uzycie skryptu [ start | stop | restart ] "
echo ""

exit
;;
esac

wpisujemy w nim poprawna sciezke do pliku- wylaczamy imq jak jest wlaczone, nadajemy prawa do wykonania skryptu
i odpalamy.

koledzy napewno pomoga uzupelnic tabele filtrow, tak aby wylapac jeszcze wazniejsze porty i uslugi zeby korzystanie z netu przez skaznych na zaglade bylo duzo milsze.

skrypcik dziala rownolegle z niceshaperem, a raczej szeregowo

jesli ktos lub cos sie wylamie z wyzej napisanej mysli to niceshaper i tak go utnie do ustawionej wartosci.
dziala to wylacznie na upload, sciaganie jest mniej krytyczne w przypadku dsl-a wiec pominolem ta kwestie.

czyli ustawienie jakiejs wartosci dla p2p na noc wiekszej niz przewiduje to nice nie zda egzaminu.

sugeruje wylaczac nice lub podmienic config na nocny

czesc skryptu niweluje niedogodnosc nice do przycinania squida, pasuje tam ustawic szybkosc z jaka dane z cache poleca do uzytkownika.
po kabelku moze to byc sporo, dla czesci radiowych proponuje przyjac normalna wielkosc, ruch ze sqida odklada sie na imq3.
a wykresy ruchu pokazuja sesownosc instalowania tego zwierzatka.
u mnie ruch z cache to 10% wiec po jakiego diabla.......

...a i przy kopiowaniu uwazamy na zawiniete linie.
milej zabawy - czekam na propozycje portow do filtrowania .

#######################################
# markowanie okreslonych pakietow
$i -t mangle -A znaczniki -j CONNMARK --restore-mark
# akceptuje pakiety juz zamarkowane (omija niceshapera i nie pokazuje uploadu)
# $i -t mangle -A znaczniki -m mark ! --mark 0x0 -j ACCEPT

a jesli ktos nie chce zeby dzialalo to znice wystarczy odznaczyc linie
i juz nice nie bedzie sie wtracal.
nalezy wtedy skorygowac wartosci z configu nice, aby suma p2p i nice nie przekraczala lacza.

mam nadzieje ze komus pomoge

upload mi sie dość ładnie trzyma w wartościach imq_p2p natomiast problemem jest nadal download a właściewie jego wysysanie przez jednego z userów

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.

-MW- super to wygląda i uświadamia mi jak maluczki jestem

Mam pytanie bo ja squida nie mam - moge wszytskie linij ad squid wyhashować? I jeszcze jedno - co to znaczy "skype na wybranym porcie"?

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

<download>
link speed 512kbps shape 512kbps
user low 1kbps ceil 100kbps strict 30% prio 5

ustaw sesownie to poleci tyle ile trzeba, a jak chcesz byc dobry to uwazaj
zeby cie mrowki nie zjadly.

1. tak i czyszczenie bałwan jestem na imq3
2. jesli skype pracuje na przypadkowym porcie to klient nie pogada,
a jesli ustawi w opcjach jakis port to caly ruch z tego portu trafi do wlasciwej klasy - ale trzeba o tym poinformowac goscia jak zglosi problem

przyjrzalem sie bardzo dokladnie skryptowi. teraz kapuje:)
dziekuje bardzo za objasnienie.

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

hmmmm
gra nawet serwera nie łapie
voip padł
i tyle testowania (pewnie coś spitoliłem poczekam az bedzie mniej userów)


co ma być w host.tmp ?

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.

pewnie trzeba zlapac jakis port - ja sie nie znam na portach wiec nie pomoge

mozna zamarkowac jesli pakiety maja jakies znaczniki.

wszystko co nie jest wylapane trafia do malej rurki w ktorej to dzieja sie cuda

To sa reguly przerzucajace uslugi na lacze priorytetowe u mnie w sieci. Poza uzywajacymi skype i grajacymi w csa na roznych dziwnych portach (z tymi sie umowilem, ze na priorytet ida porty udp do 10000 w gore, ale nie uzywaja p2p) nikt nie narzeka. Brak ftp i poczty zamierzony. Myslalem, zeby przerzucic poczte, ale odpuscilem sobie po tym jak zobaczylem ile osob uzywa p2m.

jakies cudaki te porty

Wazne, ze dzialaja. Chocaz faktycznie nie wszystkia sa potrzebne w kazdej sieci. O ile dobrze pamietam, to 15001 to KnightOnline, a 43594 to runescape- raczej malo popularne gry.

ale z zalozenia ograniczenia maja byc poddawani najwieksi ssacze - a jesli ssacze to raczej nie gracze

Nie w przypadku mojej sieci.
Poza tym napisalem, ze to jest skrypt przerzucajacy uslugi na drugie lacze, a nie do obcinania przez niceshapera. Stosowany jest dla wszystkich, nie dla wybranych. W koncu kazdy placi taki sam abonament.
W kazdym badz razie, chyba chciales porty uprzywilejowane.

pewnie i za nie dziekuje - mialem na mysli nie indywidualne w przypadku twojej sieci, lecz te z ktorych ludzie w codziennym nie za ssanym zyciu uzywaja np. 80,21,......443,
te ktore sa strategiczne z punktu widzenia podtstawowych uslug waznych dla prawidlowego dzilania sieci.
indywidualne dla swojej sieci potrafie zaobserwowac lub wysluchac przez telefon.

jesli w takie ryzy wsadze czlowieka to nie chce slyszec od niego ze zle cos chodzi ( podstawowe uslugi) a ze nazeka na p2p - uwowa obejmuje kontrolowanie ruchu

Wlasnie do tego to jest wykorzystane.

Powinny byc icmp, tcp od 1 do 1024 i udp 53. W tym znakowaniu, ktore podalem celowo ominalem ftp, maila, telnet i rozne odmiany DC. Dodalem jeszcze Counter-Strike, KnightOnline, Runescape, gg, wszystke porty onetu, kurnik.pl i miniclip.com.

wszystko fajnie jest tylko jedno ale - ja mam dwa lacza i moge twoj przepis wykorzystac.
ale sa one oddalone od siebie o kilkanascie kilkometrow